信息安全管理规范方案.docx

信息安全管理规范方案.docx

《信息安全管理规范方案.docx》由会员分享，可在线阅读，更多相关《信息安全管理规范方案.docx（20页珍藏版）》请在冰豆网上搜索。

信息安全管理规范方案

信息安全管理规

公司

版本信息

当前版本:

最新更新日期:

最新更新作者:

作者:

创建日期:

审批人:

审批日期:

修订历史

版本号

更新日期

修订作者

主要修订摘要

TableofContents（目录）

1.公司信息安全要求

1.1信息安全方针

⏹拥有信息资产，积累、共享并保护信息资产是我们共同的责任。

⏹管理与技术并重，确保公司信息资产的安全，保障公司持续正常运营。

⏹履行对客户知识产权的保护承诺，保障客户信息资产的安全，满足并超越客户信息安全需求。

1.2信息安全工作准则

⏹保护信息的性、完整性和可用性，即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用信息及信息系统；

⏹公司通过建立有效的信息安全管理体系和必要的技术手段，保障信息资产的安全，降低信息安全风险；

⏹各级信息安全责任者负责所辖区域的信息安全，通过建立相关制度及有效的保护措施，确保公司的信息安全方针得到可靠实施；

⏹全体员工应只访问或使用获得授权的信息系统及其它信息资产，应按要求选择和保护口令；

⏹XX，任何人不得对公司信息资产进行复制、利用或用于其它目的；

⏹应及时检测病毒，防止恶意软件的攻击；

⏹公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理；

⏹通过建立有效和高效的信息安全管理体系，定期评估信息安全风险，持续改进信息安全管理体系。

1.3职责

全体员工应保护公司信息资产的安全。

每个员工必须认识到信息资产的价值，负责保护好自己生成、管理或可触及的涉及的数据和信息。

员工必须遵守《信息标识与处理程序》，了解信息的级别。

对于不能确定是否为涉密信息的容，必须征得相关管理部门的确认才可对外披露。

员工必须遵守信息安全相关的各项制度和规定，保证的系统、网络、数据仅用于的各项工作相关的用途，不得滥用。

1.4信息资产的分类规定

公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。

类别

说明

电子数据

存在信息媒介上的各种数据资料，包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。

软件

包括系统软件、应用软件、共享软件

系统软件：

操作系统、语言包、工具软件、各种库等；

应用软件：

外部购买的应用软件，办公软件等；

共享软件：

各种共享源代码、共享可执行程序等。

硬件

网络设备：

路由器、网关、交换机等

计算机设备：

大型机、服务器、工作站、台式计算机、移动计算机等

存储设备：

磁带机、磁盘阵列、工控机等

移动存储设备：

磁带、光盘、软盘、U盘、移动硬盘等

传输线路：

光纤、双绞线等

基础保障设备：

（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等，如对基础设施使用属于租用形式，请将其识别到服务类别中。

安全保障设备：

硬件防火墙、入侵检测系统、身份验证等

其他电子设备：

打印机、复印机、扫描仪、传真机等

实体信息

纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。

服务

通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。

1.5信息资产的分级（级别）规定

信息资产分为：

一般、部公开、企业秘密、企业4个级别。

级别

名称

说明

1

一般

一般性信息，可以公开的信息、信息处理设备和系统资源。

2

部公开

非敏感但仅限公司部使用的信息、信息处理设备和系统资源。

3

企业秘密

敏感的信息、信息处理设备和系统资源，只给必须知道者。

4

企业

敏感的信息、信息处理设备和系统资源，仅适用极少数必须知道的人。

1.6现行级别与原有级别对照表

级别与公司原有的级别的对照表如下：

现行的级别

与之相当的原有级别

一般

一般

部公开

秘密

企业秘密

企业

绝密

1.7信息标识与处置中的角色与职责

角色

职责

责任人：

信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

⏹理解和各种信息访问活动相关的安全风险；

⏹根据公司信息密级划分标准来确定所属信息资产的级别；

⏹根据公司相关策略确定并检查信息访问权限；

⏹针对所属信息资产提出恰当的保护措施。

保管者：

受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施。

资产保管者通常是公司或部门的IT管理者或者代表（例如系统管理员）。

⏹根据公司相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；

⏹负责具体设置信息访问权限；

⏹负责所管理的信息资产的安全控制；

⏹部署恰当的安全机制，进行备份和恢复操作；

⏹按照信息资产责任人的要施其他控制。

用户：

信息资产的使用者，除了公司部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

⏹向信息责任人申请信息访问；

⏹按照公司信息安全策略要求正当访问信息，禁止非授权访问；

⏹向相关组织报告隐患、故障或者违规事件。

1.8信息资产标注管理规定

（1）公司所属的各类信息资产，无论其存在形式是电子、纸质还是磁盘等，都应在显著位置标注其级别。

（2）一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其级别或在文件封面打上章，磁盘等介质应在其表面非数据区予以标注其级别。

（3）如果某存储介质中包含各个级别的信息，作为整体考虑，该存储介质的级别标注应以最高为准。

（4）如果没有明显的级别标注，该信息资产以“一般”级别看待。

（5）对于对外公开的信息，需要得到相关责任人的核准，并由对外信息发布部门统一处理。

（6）如需在信息资产上表述声明，可采用以下两种表述方式：

表述方式一：

“声明：

公司资产，注意。

”

表述方式二：

“声明：

本文档受国家相关法律和公司制度保护，不得擅自复制或扩散。

”

1.9允许的信息交换方式

公司允许的信息交换方式有：

、视频、、容发布、文件共享、传真、光盘、磁盘、磁带和纸。

1.10信息资产处理和保护要求对应表

企业

企业秘密

部公开

一般

授权

需得到责任人和公司管理层批准

需得到相关责任人及部门领导批准

需得到责任人批准

无特别要求

访问

只能被得到授权的公司极少数核心人员访问

只能被公司部或外部得到明确授权的人员访问，访问者应该签署协议

可以被公司部或外部因为业务需要的人员访问

任何公司员工或外部人员都可以访问

存储

电子类的应该加密存储在安全的计算机系统；硬拷贝应该锁在安全的保险柜；禁止以其他形式存储或显示

电子类的应该妥善保存在设有安全控制的计算机系统（建议进行信息加密）；硬拷贝应该妥善保管，严禁摆放在桌面；使用白板展示后应立即擦除

电子类的应该妥善保管，可以进行加密；纸质不应放在桌面

以恰当方式保存，避免被非授权人员看到；存储有信息的介质避免丢失

复制

得到相关责任人及公司管理层批准；需要登记

须经相关责任人批准，并让专人操作或监督实施，需要登记

经相关责任人批准

部复制无限制

打印

禁止打印（或在授权情况下专人负责打印，不得打印到无人值守机）

须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机

经相关责任人许可，打印件标注密级并妥善管理

无限制，打印件标注密级

禁止直接发送，经授权后做电子签名和加密控制，经安全的途径发送，保留记录

须经相关责任人许可，发送应做加密控制，保留记录

经相关责任人许可

无限制

传真

禁止传真

须经相关责任人许可后专人负责传真

经相关责任人许可

无限制

快递

经授权后采取妥善的保护措施，由专人快递

经授权后，由签署了特定安全协议的专门的快递公司快递

经授权后，由签署了特定安全协议的专门的快递公司快递

无限制

部分发

经相关责任人和公司管理层批准后，密封分发，或以允许的电子分发形式进行安全的分发

经相关责任人批准后，密封分发，或以允许的电子分发形式进行安全的分发

经授权后，以部形式发放，或直接进行硬拷贝分发

无限制

对外分发

经相关责任人和公司管理层批准后分发，需要签署特定的协议，需要进行登记

经相关责任人批准后分发，需签署协议，需要进行登记

经授权后，以或者快递方式分发，建议签署协议

经授权后，以允许的分发方式分发

处理

碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认

碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认

保存件标明作废；电子记录定期消除；介质销毁

电子记录定期消除，介质销毁

记录跟踪

直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录

跟踪文件复制、保存、浏览、销毁过程，应有记录

无要求

不建议跟踪

1.11口令使用策略

全体员工在挑选和使用口令时，应：

（1）保证口令的。

（2）除非能安全保存，避免将口令记录在纸上。

（3）只要有迹象表明系统或口令可能遭到破坏，应立即更改口令。

（4）选用高质量的口令，最少要有6个字符，另外：

A．口令应由字母加数字组成；

B．口令不应采用如、、生日等容易猜出或破解的信息。

（5）每三个月更改或根据访问次数更改口令（特别是特权用户），避免再次使用或循环使用旧口令。

（6）首次登录时，应立即更改临时口令。

（7）不得共享个人用户口令。

1.12桌面、屏幕清空策略

为了降低在正常工作时间以外对信息进行XX访问所带来的风险、损失和损害，员工应：

（1）在闲置或工作时间之外将纸或计算机存储介质储存在合适的柜子或其它形式的安全设备中。

（2）当办公室无人时将关键业务信息放置到安全地点（比如防火的保险箱或柜子中）。

（3）在无人使用时，将个人计算机、计算机终端和打印机、复印机设为锁定状态。

（4）为个人计算机、计算机终端设定密码，同时设定屏保时间（<=15分钟）。

（5）在打印级别为企业、企业秘密的信息后，应立刻从打印机中清除相关痕迹，并有效保护打印出来的信息容。

1.13远程工作安全策略

必须保护好远程工作场所防止盗窃设备和信息、XX公开信息、对公司部系统进行远程非法访问或滥用设备等行为。

员工应：

（1）保障物理安全。

（2）对家人和客人使用设备进行限制。

如果必须要使用，应在旁边进行监督和控制，确保关键业务信息的安全。

（3）远程工作活动结束时，权限以及设备及时收回。

（4）网络远程登录终端的拨号密码即VPN仅限本人使用，不允许他人使用。

（5）进入公司或客户的信息系统工作完毕后，必须立即退出系统。

1.14移动办公策略

使用移动办公设备（如笔记本电脑）时，员工尤其应该注意保证业务信息不受损坏、非法访问或泄密：

（1）移动办公设备需要带出公司工作场所时，应进行登记。

（2）在公共场所使用移动办公设备时，必须注意防被XX的人员窥视。

（3）应实时更新用于防恶意软件的程序。

（4）应对信息进行方便快捷的备份。

（5）备份的信息应该予以适当的保护以防信息被盗或丢失。

（6）使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和VPN访问控制。

（7）防止移动办公设备被盗。

（8）防止级别为企业秘密级以上的信息所在的移动办公设备无人看管。

1.15介质的申请、使用、